Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en IBM MQ (CVE-2023-45177)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 03/07/2025
    IBM MQ 9.0 LTS, 9.1 LTS, 9.2 LTS, 9.3 LTS y 9.3 CD es vulnerable a un ataque de denegación de servicio debido a un error dentro de la lógica de agrupación en clústeres de MQ. ID de IBM X-Force: 268066.
  • Vulnerabilidad en Telerik para WinForms (CVE-2024-3892)
    Severidad: ALTA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 03/07/2025
    Es posible una vulnerabilidad de ejecución de código local en la interfaz de usuario de Telerik para WinForms a partir de v2021.1.122 pero antes de v2024.2.514. Esta vulnerabilidad podría permitir que un ensamblado de temas que no sea de confianza ejecute código arbitrario en el sistema Windows local.
  • Vulnerabilidad en Cisco (CVE-2024-20363)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2024
    Fecha de última actualización: 03/07/2025
    Varios productos de Cisco se ven afectados por una vulnerabilidad en el motor de reglas del Snort Intrusion Prevention System (IPS) que podría permitir a un atacante remoto no autenticado eludir las reglas configuradas en un sistema afectado. Esta vulnerabilidad se debe a un manejo incorrecto de paquetes HTTP. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes HTTP manipulados a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante eludir las reglas IPS configuradas y permitir el ingreso de tráfico no inspeccionado a la red.
  • Vulnerabilidad en Telerik UI para WinForms (CVE-2024-10013)
    Severidad: ALTA
    Fecha de publicación: 13/11/2024
    Fecha de última actualización: 03/07/2025
    En las versiones de Telerik UI para WinForms anteriores al cuarto trimestre de 2024 (2024.4.1113), es posible un ataque de ejecución de código a través de una vulnerabilidad de deserialización insegura.
  • Vulnerabilidad en IBM MQ Appliance, CD y LTS (CVE-2024-52896)
    Severidad: MEDIA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 03/07/2025
    La consola web de IBM MQ Appliance 9.3 LTS, 9.3 CD, 9.4 LTS y 9.4 CD podría permitir que un atacante remoto obtenga información confidencial cuando se devuelve un mensaje de error técnico detallado.
  • Vulnerabilidad en IBM MQ Appliance y LTS (CVE-2024-51471)
    Severidad: MEDIA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 03/07/2025
    La consola web de IBM MQ Appliance 9.3 LTS, 9.3 CD y 9.4 LTS podría permitir que un usuario autenticado provoque una denegación de servicio cuando el rastreo está habilitado debido a que la información se escribe en la memoria fuera del tamaño de búfer previsto.
  • Vulnerabilidad en IBM MQ Appliance, CD y LTS (CVE-2024-52897)
    Severidad: MEDIA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 03/07/2025
    La consola web de IBM MQ Appliance 9.3 LTS, 9.3 CD y 9.4 LTS podría permitir que un atacante remoto obtenga información confidencial cuando se devuelve un mensaje de error técnico detallado.
  • Vulnerabilidad en IBM MQ (CVE-2024-52898)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/07/2025
    La consola web de IBM MQ 9.3 LTS, 9.3 CD, 9.4 LTS y 9.4 CD podría permitir que un usuario local obtenga información confidencial cuando se devuelve un mensaje de error técnico detallado.
  • Vulnerabilidad en Cisco IOS Software y Cisco IOS XE Software (CVE-2025-20169)
    Severidad: ALTA
    Fecha de publicación: 05/02/2025
    Fecha de última actualización: 03/07/2025
    Una vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una gestión inadecuada de errores al analizar las solicitudes SNMP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se recargue inesperadamente, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para aprovechar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura y escritura o de solo lectura para el sistema afectado. Para aprovechar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • Vulnerabilidad en Cisco IOS Software y Cisco IOS XE Software (CVE-2025-20171)
    Severidad: ALTA
    Fecha de publicación: 05/02/2025
    Fecha de última actualización: 03/07/2025
    Una vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una gestión inadecuada de errores al analizar las solicitudes SNMP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se recargue inesperadamente, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para aprovechar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura y escritura o de solo lectura para el sistema afectado. Para aprovechar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • Vulnerabilidad en Progress® Telerik® UI for WinForms (CVE-2025-0332)
    Severidad: ALTA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 03/07/2025
    En Progress® Telerik® UI for WinForms, versiones anteriores a 2025 Q1 (2025.1.211), el uso de una limitación incorrecta de una ruta de destino puede provocar la descompresión del contenido de un archivo en un directorio restringido.
  • Vulnerabilidad en IBM MQ, LTS y CD (CVE-2025-23225)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2025
    Fecha de última actualización: 03/07/2025
    IBM MQ 9.3 LTS, 9.3 CD, 9.4 LTS y 9.4 CD podrían permitir que un usuario autenticado provoque una denegación de servicio debido a la gestión inadecuada de encabezados no válidos enviados a la cola.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24992)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 03/07/2025
    La sobrelectura del búfer en Windows NTFS permite que un atacante no autorizado divulgue información localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24994)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 03/07/2025
    Un control de acceso inadecuado en el servicio de dispositivos cruzados de Windows permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24995)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 03/07/2025
    El desbordamiento del búfer basado en montón en el controlador del servicio Kernel Streaming WOW Thunk permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24996)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 03/07/2025
    El control externo del nombre o la ruta de archivo en Windows NTLM permite que un atacante no autorizado realice suplantación de identidad a través de una red.
  • Vulnerabilidad en IRM Newsroom para WordPress (CVE-2025-4584)
    Severidad: MEDIA
    Fecha de publicación: 13/06/2025
    Fecha de última actualización: 03/07/2025
    El complemento IRM Newsroom para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode 'irmeventlist' en todas las versiones hasta la 1.2.17 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en IRM Newsroom para WordPress (CVE-2025-4585)
    Severidad: MEDIA
    Fecha de publicación: 13/06/2025
    Fecha de última actualización: 03/07/2025
    El complemento IRM Newsroom para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode 'irmflat' en todas las versiones hasta la 1.2.17 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en IRM Newsroom para WordPress (CVE-2025-4586)
    Severidad: MEDIA
    Fecha de publicación: 13/06/2025
    Fecha de última actualización: 03/07/2025
    El complemento IRM Newsroom para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode 'irmcalendarview' en todas las versiones hasta la 1.2.17 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en Post Carousel Slider para Elementor de WordPress (CVE-2025-3863)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 03/07/2025
    El complemento Post Carousel Slider para Elementor de WordPress es vulnerable a una autorización incorrecta debido a la falta de una comprobación de capacidad en la función process_wbelps_promo_form() en todas las versiones hasta la 1.6.0 incluida. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, activen el gestor del formulario de soporte del complemento para enviar correos electrónicos arbitrarios a la dirección de soporte del sitio.
  • Vulnerabilidad en BuddyPress Docs para WordPress (CVE-2025-5526)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 03/07/2025
    El complemento BuddyPress Docs para WordPress anterior a la versión 2.2.5 carece de controles de acceso adecuados y permite que un usuario que haya iniciado sesión vea y descargue archivos que pertenecen a otro usuario.